創(chuàng)新之處在于：要想把安全技術(shù)融于網(wǎng)絡(luò)，安全技術(shù)必須和高速的網(wǎng)絡(luò)設(shè)備相匹配；同時(shí)，還要簡化網(wǎng)絡(luò)拓?fù)?，簡化對網(wǎng)絡(luò)的管理，方便網(wǎng)絡(luò)用戶的使用，以確保應(yīng)用和互聯(lián)的網(wǎng)絡(luò)安全。

　　服務(wù)質(zhì)量管理分為三種質(zhì)量控制類型：預(yù)防性控制、探測性控制和糾正性控制。其中，預(yù)防性控制是用以降低未來出現(xiàn)某個(gè)有害事件或風(fēng)險(xiǎn)的可能性；探測性控制就是找出某個(gè)已初露端倪的有害事件。而糾正性控制就是試圖使系統(tǒng)恢復(fù)某種已形成的或所允許的良好狀態(tài)。從服務(wù)質(zhì)量管理實(shí)踐中，我們意識(shí)到，必須要重點(diǎn)關(guān)注預(yù)防性控制。因?yàn)橐坏┨綔y性控制或糾正性控制發(fā)揮作用時(shí)，就表明某個(gè)不希望發(fā)生的事件已經(jīng)發(fā)生了，正所謂“亡羊補(bǔ)牢，為時(shí)晚矣”。

　　從流程設(shè)計(jì)入手

　　首先，我們要知道，任何一個(gè)控制流程都是針對某個(gè)不同的目標(biāo)風(fēng)險(xiǎn)來實(shí)施的。這些風(fēng)險(xiǎn)是管理過程中已識(shí)別出的、為系統(tǒng)所不可接受的。

　　一個(gè)企業(yè)的業(yè)務(wù)總是潛藏著太多的風(fēng)險(xiǎn)，即使投入再多的金錢和資源，要全部消除也是不可能的。因此，我們的任務(wù)就是要明確，究竟哪些風(fēng)險(xiǎn)在威脅著業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)，進(jìn)而設(shè)法把它們降低到管理進(jìn)程所能接受的程度。若超過了這一限度，坦白地講，也是對時(shí)間和金錢的浪費(fèi)。

　　當(dāng)回顧一下服務(wù)質(zhì)量管理的實(shí)施，我們發(fā)現(xiàn)，通過流程設(shè)計(jì)，來盡可能降低異變的方法是十分有效的。當(dāng)然，缺陷總是發(fā)現(xiàn)得越早越好。在此，我們需要的是簡潔，而不是復(fù)雜。

　　而且，我們需要在事故發(fā)生前進(jìn)行“明智”的預(yù)防。所謂“明智”指的是，我們?yōu)榻档惋L(fēng)險(xiǎn)所投入的成本是值得的，而且，總成本既包括流程最初實(shí)施、還包括往后繼續(xù)進(jìn)行這一全部過程中的所有花費(fèi)。

　　12條建議

　　以下是實(shí)現(xiàn)預(yù)防性控制的12條建議。一旦發(fā)現(xiàn)有風(fēng)險(xiǎn)存在并試圖預(yù)防時(shí)，IT人員可以以此為參照來進(jìn)行管理。

　　管理層的言行：

　　管理人員必須對自身行為設(shè)置期望值，并有所約束。他們不但要對員工提出一些行為和道德上的要求，而且還必須不斷地用自身行動(dòng)去證實(shí)。他們必須時(shí)刻謹(jǐn)慎，否則，“一失足成千古恨”。

　　選拔人才：

　　確保在第一時(shí)間內(nèi)選拔到合適人才。選拔時(shí)，要考慮人員的文化和技術(shù)背景。背景還要和任務(wù)角色相符。一個(gè)部門在一開始就選用合適的人來開展工作，會(huì)達(dá)到事半功倍的效果。

　　部門設(shè)計(jì)和工作分工：

　　部門設(shè)計(jì)要合理，以便人員職責(zé)和角色分工有意義。如果一個(gè)人被授權(quán)的工作同控制期望相背離的話，他就不可能認(rèn)同所謂的職責(zé)分工。也就是說，部門設(shè)計(jì)時(shí)，一定要滿足控制流程的需要，而不是設(shè)置無形的障礙來防礙流程的實(shí)施。

　　政策和程序：

　　制定一套正規(guī)政策和標(biāo)準(zhǔn)程序，有助于約束員工行為，并幫助了解流程是如何實(shí)施的。為了使這些政策和程序有效，必須要對員工進(jìn)行定期培訓(xùn)，使其參與有意識(shí)的運(yùn)動(dòng)，運(yùn)用探測性控制和審計(jì)等。

　　培訓(xùn)：

　　有許多部門頻繁抱怨說，他們的工作要依賴于員工，然而在員工身上的投入?yún)s收效甚微。對此，他們深感疑惑。當(dāng)然，為確保員工具備工作必需的技巧，適當(dāng)培訓(xùn)是很有必要的。這些技巧不僅包括從外界學(xué)到的技能，還包括針對內(nèi)部系統(tǒng)和流程而開展的培訓(xùn)。從最基本上來說，對于任何事情，若一無所知就無從下手。因此，除非員工擁有一些必備的技能工具，否則他們是不能勝任質(zhì)量管理工作的。

　　有意識(shí)的活動(dòng)：

　　這對于保持一個(gè)人的思維敏捷是至關(guān)重要的?；顒?dòng)通常利用多種渠道讓人們獲取信息。這些信息涉及廣泛，從海報(bào)到每日郵，到時(shí)事通訊、午宴及競賽等。但這并不是說活動(dòng)就取代了培訓(xùn)，而是通過這種方式，強(qiáng)化了正規(guī)培訓(xùn)項(xiàng)目中本應(yīng)包括的一些核心點(diǎn)，進(jìn)而也可促進(jìn)新的培訓(xùn)開發(fā)。

　　負(fù)責(zé)任：

　　在此背景下，所謂的責(zé)任是指人們要為自己的行為、或無所作為負(fù)責(zé)。說到底，這也是處事風(fēng)格的問題。終端信息在傳遞過程中，要盡量避免一些有害行為的重復(fù)發(fā)生。這并不是說要對這些行為有一個(gè)嚴(yán)格的衡量標(biāo)準(zhǔn)，而是說，任何一個(gè)事件的起因和后果都要與個(gè)人責(zé)任掛鉤。糾錯(cuò)流程：由于人員因素、流程失誤或技術(shù)原因而出現(xiàn)不良后果時(shí)，就必須采取一定措施來降低今后事故再次發(fā)生的可能性。這些行為可能是培訓(xùn)，流程重造，附加技術(shù)等等。關(guān)鍵是當(dāng)事故發(fā)生時(shí)，一定要在分析風(fēng)險(xiǎn)、成本、效益的基礎(chǔ)上對其進(jìn)行評價(jià)，并采取相應(yīng)預(yù)防措施。

　　指標(biāo)分析：

　　部門必須制定一些能夠有效衡量流程及實(shí)施成果的指標(biāo)，以確保行動(dòng)實(shí)施的正確性。此外，還必須每隔一定時(shí)間對收集到的數(shù)據(jù)進(jìn)行評估，以檢查流程是否處于控制軌道還是已脫離控制，并在事故發(fā)生前主動(dòng)采取行動(dòng)。

　　系統(tǒng)設(shè)計(jì)或構(gòu)建：

　　設(shè)計(jì)合理的系統(tǒng)，以便獲得良好的職責(zé)分工，開展有效的訪問控制，變更控制及應(yīng)用實(shí)施控制，同時(shí)預(yù)防事故發(fā)生。這對應(yīng)用系統(tǒng)、網(wǎng)絡(luò)及數(shù)據(jù)庫等都是適用的。一開始就對控制要求十分了解的工程學(xué)方法，必將最終制造一個(gè)性能優(yōu)良的系統(tǒng)。在此需要謹(jǐn)記，在最初設(shè)計(jì)良好的控制流程，遠(yuǎn)比以后試圖改進(jìn)它要容易得多。

　　相關(guān)股東：

　　為預(yù)防事故發(fā)生，IT部門和項(xiàng)目小組成員必須包括相關(guān)股東在內(nèi)，并弄清這些股東的要求。比如，在重建一個(gè)應(yīng)急系統(tǒng)，或檢測一個(gè)購買系統(tǒng)時(shí)，項(xiàng)目組有內(nèi)部審計(jì)人員在內(nèi)比根本沒有要好的多。此外，控制要求也是系統(tǒng)設(shè)計(jì)時(shí)需要考慮的因素。

　　標(biāo)桿：

　　不要試圖去研究大量發(fā)生的事故來確保流程的正確性，參考成千上萬個(gè)成功經(jīng)驗(yàn)所匯聚而成的標(biāo)準(zhǔn)吧，以此來預(yù)防失誤。比如BSI、ISO、ITIL、NIST、SEI等都是流程信息管理的珍寶。

　　總之，企業(yè)要運(yùn)用與公司面對的風(fēng)險(xiǎn)相適應(yīng)的預(yù)防性控制流程。此種流程有許多方式可供選擇，以上僅僅是一些簡單建議。文章的主旨在于，企業(yè)要盡快采取合理有效的措施來預(yù)防問題的發(fā)生，以此增強(qiáng)部門實(shí)現(xiàn)目標(biāo)的可能性。

　　相關(guān)鏈接

　　BSI 英國標(biāo)準(zhǔn)學(xué)會(huì)是世界上最早的全國性標(biāo)準(zhǔn)化機(jī)構(gòu)，它不受政府控制但得到了政府的大力支持。BSI把標(biāo)準(zhǔn)化和質(zhì)量管理以及對外貿(mào)易緊密結(jié)合起來開展工作。

　　BSI 管理體系包括針對質(zhì)量管理的ISO9000、針對信息安全管理的BS7799、針對IT服務(wù)管理的BS15000、TL9000電信行業(yè)質(zhì)量管理體系等。

　　ISO 國際標(biāo)準(zhǔn)化組織是世界最大的非政府性國際標(biāo)準(zhǔn)化組織。成立于1947年2月23日，其前身為國家標(biāo)準(zhǔn)化協(xié)會(huì)國際聯(lián)合會(huì)和聯(lián)合國標(biāo)準(zhǔn)協(xié)調(diào)委員會(huì)。ISO主要工作是制修訂與出版國際標(biāo)準(zhǔn)。ISO標(biāo)準(zhǔn)和范圍涉及除電工與電子工程以外的所有領(lǐng)域；電工與電子工程標(biāo)準(zhǔn)，由國際電工委員會(huì)負(fù)責(zé)制修訂；信息技術(shù)標(biāo)準(zhǔn)化工作由ISO和IEC共同負(fù)責(zé)。1987年11月，這兩大國際組織成立了ISO/IEC的JTCI聯(lián)合技術(shù)委員會(huì)即“信息技術(shù)委員會(huì)”，現(xiàn)有50個(gè)成員團(tuán)體參加其工作。至今共制修訂8205個(gè)國際標(biāo)準(zhǔn)。

　　NIST 美國國家標(biāo)準(zhǔn)技術(shù)院是美國商務(wù)部所屬的研究機(jī)構(gòu)。它一直做推廣和維護(hù)度量標(biāo)準(zhǔn)的工作。它還致力于鼓勵(lì)和幫助各行業(yè)和科學(xué)研究來開發(fā)使用這些標(biāo)準(zhǔn)。

　　SEI軟件工程協(xié)會(huì)是由美國國防部于1984年建立的一個(gè)由聯(lián)邦政府資助的研發(fā)中心，它被授權(quán)負(fù)責(zé)解決軟件工程技術(shù)的發(fā)展。SEI是美國卡內(nèi)基梅隆大學(xué)的直屬機(jī)構(gòu)，并得到美國國防部副部長辦公廳的資助。

　　George Spafford 譯 文路

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……